HOPET Informatika

Név:
Jelszó:

2024. november 21. csütörtök, Olivér

„Informatika az üzlet szolgálatában!”


MSZ ISO/IEC 27001:2006 Információbiztonsági irányítási rendszer


MSZ ISO/IEC 27001

A Magyar Szabványügyi Testület 2006. májusában Informatika, Biztonságtechnika, Az információbiztonság irányítási rendszerei címmel adta ki az MSZ ISO/IEC 27001:2006 magyar nemzeti szabványt, amely teljesen megegyezik a Nemzetközi Szabványosítási Szervezet /ISO/ a világ legismertebb és „de facto” ipari szabványnak tekintett ISO/IEC 27001:2005 azonosító számú biztonsági szabványával. A szabvány rögzíti az információ bizalmasságának, teljességének és hozzáférhetőségének kívánt ellenőrzési módszereit, alapelveit.

Jellemzői

  • Technológia-független menedzsment rendszerek
  • Követelményekre épülnek, ezek:
    • dokumentumok és feljegyzés kezelése
    • felelősségek
    • folyamat kiértékelés
    • megújítás
    • audit
    • vezetőségi átvizsgálás)
  • Irányítási és szakmai folyamatokba (folyamatleírásba, kapcsolódó utasításokba) beépíthetők a biztonsági követelmények, szabályozások
  • A tanúsítás 3 évre szól, rendszeres éves felügyeleti látogatásokkal, mely leteltével az érvényességét meg kell újítani.

A szabvány szabályozási céljai és intézkedései

  1. Biztonsági szabályzat
    2. Egy olyan szabályzat kialakítása szükséges, amely segítségével körvonalazhatók a szervezet biztonsági elvárásai, a biztonságos működéshez megadja a szükséges iránymutatást és kifejezi a menedzsment IT biztonsági elkötelezettségét. A későbbiekben szabályzat kiindulási alapként használható a folyó vizsgálatok és értékelések során.
  2. Az információbiztonság szervezete
    3. A szervezeten belül egy olyan menedzsment struktúra kialakítása szükséges, amelyben egyértelműen meghatározható, hogy melyik csoport a biztonság mely területeiért felelős. A szervezet információ-feldolgozó eszközeit csak ellenőrizhető módon, a felelősségek rögzítésével lehet harmadik fél számára hozzáférhetővé tenni.
  3. Vagyontárgyak kezelése
    4. Leltárt kell készíteni a szervezet információs javairól, és az információ érzékenységi foka és kritikussága figyelembevételével osztályokba kell ezeket sorolni. Az osztályba sorolás segítségével biztosítható, hogy az egyes elemeket a megfelelő védelemmel lássák el.
  4. Az emberi erőforrások biztonsága
    5. Rögzíteni kell a dolgozók felelősségi szintjét a biztonságos működés és a bizalmas információkkal kapcsolatban. Minden dolgozónak a saját felelőségi szintjének megfelelő oktatást kell biztosítani az alkalmazott biztonsági eljárásokról és az információ-feldolgozó eszközök helyes használatáról, hogy a lehetséges biztonsági kockázatokat minimalizálni lehessen. Szükséges továbbá egy rendszer felállítása az incidensek bejelentésére is.
  5. Fizikai védelem és a környezet védelme
    6. Meg kell védeni az üzleti helyszíneket, berendezéseket és információt a jogosulatlan hozzáféréstől, sérüléstől, valamint az illetéktelen beavatkozástól. Az eszközök fizikai védelmén felül veszteséget és károsodást minimalizáló óvintézkedéseket is kell hozni.
  6. A kommunikáció és az üzemeltetés irányítása
    7. A fejezet tartalma:
    • Az üzemviteli eljárások és felelősségek rögzítése, melyeknek segítségével biztosítható az információ feldolgozó berendezések helyes és biztonságos működése
    • Az üzemeltetési környezet gondos megtervezése és előkészítése, melynek segítségével szavatolható a szükséges rendszer- és erőforrás-kapacitás rendelkezésre állása
    • Észlelő és megelőző intézkedések bevezetése a rosszindulatú szoftverek elleni védelem érdekében
    • Rutineljárások bevezetése az egyeztetett mentési stratégia végrehajtására, az adatok biztonsági másolatának elkészítésére, az adatok időben történő visszaállítására, valamint a berendezés-környezet eseményeinek és meghibásodásainak naplózására
    • Megfelelő szintű hálózatmenedzselés bevezetése a hálózaton áthaladó információ, valamint az adatforgalmat lebonyolító infrastruktúra védelmére, a jogosulatlan hozzáférések kiküszöbölésére
    • Üzemeltetési eljárások kialakítása, melyek alkalmazásával a dokumentumok, adathordozók megvédhetők sérüléstől és a jogosulatlan hozzáféréstől
    • A szervezetek közötti információcsere biztosítása oly módon, hogy az ellenőrizhető és a vonatkozó jogszabályoknak megfelelő legyen
  7. Hozzáférés-ellenőrzés
    8. Biztosítani kell a hálózatokhoz és az alkalmazások erőforrásaihoz való hozzáférés felügyeletét és ellenőrzését a belülről jövő illetéktelen felhasználás vagy a külső támadások elleni védelem érdekében.
  8. Információs rendszerek beszerzése, fejlesztése és karbantartása
    9. Előírásokkal, biztonsági intézkedésekkel, illetve ellenőrzésekkel gondoskodni kell arról, hogy az új alkalmazások illetve üzemben lévő alkalmazások új verziója is tartalmazza az előírt biztonsági szinteket. A biztonsági szinteket úgy kell megállapítani, hogy azok tükrözzék az érintett informatikai vagyon üzleti értékét, és azt a lehetséges üzleti kárt, amelyet egy biztonsági hiba, vagy a biztonság hiánya eredményezhet.
  9. Információbiztonsági incidensek kezelése
    10. Biztosítani kell, hogy az információbiztonsági események kommunikálása olyan módon történjen, ami időben lehetővé teszi a szükséges helyesbítő intézkedések megtételét.
  10. Működés folytonosságának az irányítása
    11. Az üzletmenet folytonosságát menedzselő folyamatot kell megvalósítani annak érdekében, hogy megelőző és helyreállító óvintézkedések alkalmazásával elfogadható szintre lehessen csökkenteni a katasztrófák hatására előálló káresemények hatásait.
  11. Követelményeknek való megfelelés
    12. Rendszeres időközönként felül kell vizsgálni az informatikai rendszerek biztonsági követelményeit, és az ezeknek való megfelelést. A rendszert átvilágító auditáláskor gondoskodni kell a maximális eredmény mellett az auditálási folyamat által okozott zavarok minimalizálásáról.

Qualys PCI Reseller xhtml logo css logo
| Last modified: 2009. 06. 10.
Adatvédelem | Használati feltételek